Journal of KONBiN 3(35)2015

ISSN 1895-8281
DOI 10.1515/jok-2015-0041 ESSN 2083-4608

EVALUATION OF THE SAFETY INTEGRITY LEVEL

(SIL) DUE TO THE GUIDELINES OF EN 61508 AND
WITH THE USE OF MARKOV PROCESSES

OCENA POZIOMU NIENARUSZALNOŚCI

BEZPIECZEŃSTWA (SIL) WG NORMY EN 61508 ORAZ
Z ZASTOSOWANIEM PROCESÓW MARKOWA
Stanisław Młynarski1, Robert Pilch2, Maksymilian Smolnik2,
Maciej Szkoda1, Jan Szybka2
1
Politechnika Krakowska, 2Akademia Górniczo-Hutnicza
e-mail: mlynarski_st@poczta.onet.pl; pilch@agh.edu.pl

Abstract: The methods of evaluation of the Probability of Failure on Demand

(PFD) of safety systems were presented in the paper, assuming that the safety
systems may be represented by the k out of n reliability structures. The results of
the calculations obtained according to EN 61508 were compared with another
results, this time obtained from the calculations done for these systems assuming
that their failure-and-renewal process is a Markov process.

Keywords: reliability, safety, SIL

Streszczenie: W artykule przedstawiono metody wyznaczania średniego

prawdopodobieństwa nieprawidłowego funkcjonowania (PFD – Probability of
Failure on Demand) układów systemu zabezpieczeń przyjmując, że posiadają one
elementarne struktury niezawodnościowe typu k z n. Uzyskane wg normy EN 61508
wyniki porównano z obliczeniami tych układów zakładając proces ich uszkodzeń
i odnów jako proces Markowa.

Słowa kluczowe: niezawodność, bezpieczeństwo, SIL

73

Unauthenticated
Download Date | 3/4/17 9:20 AM
Evaluation of the Safety Integrity Level (SIL) due to the guidelines of EN 61508...
Ocena poziomu nienaruszalności bezpieczeństwa (SIL) wg normy EN 61508...

1. Wstęp
Do monitorowania procesu eksploatacji systemów, których awarie stanowią
zagrożenie dla ludzi i środowiska stosuje się coraz bardziej nowoczesne układy
zabezpieczeń. Układy takie o charakterze elektrycznym, elektronicznym
i z programowalną elektroniką (E/E/PE) stosowane są w różnych obszarach
skomplikowanych działań technicznych: przy wydobyciu, magazynowaniu
i przesyle ropy naftowej oraz gazu, przy wytwarzaniu energii elektrycznej,
w przemyśle chemicznym i papierniczym itd. Celem stosowania układów
monitorowania i zabezpieczeń jest zmniejszenie ryzyka wynikającego
z eksploatacji systemu do poziomu akceptowalnego [1]. Efekt ten jest uzyskiwany
poprzez zmniejszenie prawdopodobieństwa wystąpienia zdarzeń niebezpiecznych.
O możliwości osiągnięcia wymaganego stopnia obniżenia ryzyka
w eksploatowanym systemie decyduje niezawodność zastosowanego układu
związanego z bezpieczeństwem [4,5].
W artykule przedstawiono metody wyznaczania średniego prawdopodobieństwa
nieprawidłowego funkcjonowania (PFD – Probability of Failure on Demand)
układów systemu zabezpieczeń przyjmując, że posiadają one elementarne struktury
niezawodnościowe typu k z n i uzyskane wyniki porównano z obliczeniami tych
układów zakładając proces ich uszkodzeń i odnów jako proces Markowa [3,6].
2. Wyznaczanie poziomu nienaruszalności bezpieczeństwa wg normy
EN 61508
Rzeczywiste systemy składają się z układu technicznego realizującego określone
zadania i układów zabezpieczeń. W przypadku, gdy ryzyko, związane
z wystąpieniem awarii, generowane przez system nie spełnia oczekiwań, do
systemu wprowadzony zostaje układ bezpieczeństwa, gwarantujący zmniejszenie
ryzyka awarii do żądanej wartości. Sposób osiągnięcia ryzyka akceptowalnego
przedstawiono na rysunku 1.

Rys. 1 Sposób osiągnięcia ryzyka akceptowalnego

Ze wzrostem wymagań dotyczących obniżenia ryzyka wzrastają oczekiwania
odnośnie do niezawodności, jaką charakteryzować się ma układ związany
z bezpieczeństwem.

74

Unauthenticated
Download Date | 3/4/17 9:20 AM
 Stanisław Młynarski, Robert Pilch, Maksymilian Smolnik, Maciej Szkoda, Jan Szybka

Zgodnie z EN 61508 przyjmuje się 4 charakterystyczne poziomy nienaruszalności

bezpieczeństwa (SIL – Safety Integrity Level), które określają dopuszczalne
średnie prawdopodobieństwa uszkodzenia układu zastosowanego do zmniejszenia
ryzyka. W zależności od częstości pojawiania się zdarzeń niebezpiecznych,
rozróżnia się średnie prawdopodobieństwo uszkodzenia w przypadku rzadkich
przywołań (PFD) oraz średnie prawdopodobieństwo uszkodzenia w przypadku
częstych przywołań (PFH – Probability of Failure on Hour) [1].
Norma EN 61508 przedstawia jedną z możliwych technik obliczania
prawdopodobieństwa uszkodzenia układów związanych z bezpieczeństwem
systemów technicznych. Przedstawiona w przywołanej normie metodyka obliczeń
opiera się na kilku zasadniczych założeniach [1,2,4]:
 rozważany układ i wszystkie jego elementy znajdują się w okresie normalnej
pracy i(t)=const.,
 układy związane z bezpieczeństwem są poddawane testom okresowym (co
okres T1), które umożliwiają wykrycie i usunięcie wszystkich uszkodzeń
w układzie,
 wykonywane są testy diagnostyczne umożliwiające wykrycie niektórych
uszkodzeń,
 intensywność uszkodzeń każdego elementu dzieli się na intensywność
uszkodzeń bezpiecznych (S) oraz intensywność uszkodzeń niebezpiecznych
(D),
 część uszkodzeń niebezpiecznych jest wykrywana przez testy diagnostyczne,
których skuteczność jest określana jako pokrycie diagnostyczne (DC),
 intensywność uszkodzeń niebezpiecznych (D) dzielona jest na intensywność
uszkodzeń niebezpiecznych wykrywalnych i intensywność
uszkodzeń niebezpiecznych niewykrywalnych przez testy diagnostyczne
– rysunek 2,

Rys. 2 Intensywność uszkodzeń bezpiecznych i niebezpiecznych

oraz wykrywalnych i niewykrywalnych przez testy diagnostyczne
 strukturę układu zabezpieczającego tworzą trzy szeregowo współpracujące
podukłady: czujnikowy (C), logiczny (L) i wykonawczy (W), z których każdy
posiada odpowiednią strukturę k z n,

75

Unauthenticated
Download Date | 3/4/17 9:20 AM
Evaluation of the Safety Integrity Level (SIL) due to the guidelines of EN 61508...
Ocena poziomu nienaruszalności bezpieczeństwa (SIL) wg normy EN 61508...

 prawdopodobieństwa uszkodzenia każdego z podukładów obliczane są

oddzielnie wg tych samych zasad, a końcowe średnie prawdopodobieństwo
uszkodzenia wyznaczane jest z zależności:
(1)
 średni czas naprawy każdego elementu wynosi, w przypadku uszkodzeń
wykrywalnych: , a w przypadku uszkodzeń niewykrywalnych:
[1,2,4].

Poniżej przedstawiono schematy blokowe podstawowych struktur k z n, dla

których wykonano obliczenia PFD zgodnie z EN 61508.
Struktura 1 z 1 składa się z jednego elementu, który przez czas tC1 może przebywać
w stanie niezdatności ze względu na uszkodzenie niebezpieczne niewykrywalne
oraz przez czas tC2 ze względu na uszkodzenie niebezpieczne wykrywalne przez
testy diagnostyczne. Łącznie daje to średni czas przebywania w stanie niezdatności
określony jako tCE [1,2,4].

Rys. 3 Schemat blokowy dla pojedynczego elementu oraz struktury 1 z 1

(2)

Średnie prawdopodobieństwo uszkodzenia układu wyraża się jako:

(3)
ponieważ , przyjmuje się, że można w przybliżeniu zapisać:

(4)
Dla dowolnej struktury n z n zależność przyjmie postać:

(5)

Dla wszystkich struktur k z n, gdy k<n, schemat blokowy można w sposób ogólny
przedstawić jak na rysunku 4.

76

Unauthenticated
Download Date | 3/4/17 9:20 AM
 Stanisław Młynarski, Robert Pilch, Maksymilian Smolnik, Maciej Szkoda, Jan Szybka

Wartość czasu tCE wyznaczana jest w tych przypadkach wg (2), natomiast średni
czas przebywania w stanie niezdatności n-k+1 elementów układu (tGE) zgodnie
z zależnością:

(6)

Rys. 4 Uogólniony schemat blokowy struktur k z n gdy k<n

Występujący na schemacie blok uszkodzeń o wspólnej przyczynie odzwierciedla

możliwość pojawienia się uszkodzeń o wspólnej dla wszystkich elementów
przyczynie, które spowodują niezdatność całego układu. W poniższych
zależnościach są one reprezentowane jako udział uszkodzeń niewykrytych
o wspólnej przyczynie (β) oraz udział uszkodzeń o wspólnej przyczynie wykrytych
przez testy diagnostyczne (βD). Średnie prawdopodobieństwa wystąpienia
uszkodzenia podstawowych struktur k z n, gdy k<n, przedstawiają poniższe
zależności [1,2,4]:
 dla struktury 1 z 2:
+
(7)

 dla struktury 1 z 3:
+
(8)

77

Unauthenticated
Download Date | 3/4/17 9:20 AM
Evaluation of the Safety Integrity Level (SIL) due to the guidelines of EN 61508...
Ocena poziomu nienaruszalności bezpieczeństwa (SIL) wg normy EN 61508...

 dla struktury 2 z 3:

+
(9)

 dla struktury 4 z 6:

+
(10)

3. Proces Markowa
Wyliczone wg normy EN 61508 wartości prawdopodobieństw PFD porównano
z obliczeniami niezawodności powyżej przedstawionych struktur, przyjmując
proces uszkodzeń i odnów ich elementów jako proces Markowa [3,6].
Poniżej przedstawiono fragment przeprowadzonych analiz na przykładzie struktury
najprostszej 1 z 1 oraz struktury 1 z 2. Wszystkie przedstawione w rozdziale
czwartym wyniki obliczeń numerycznych badanych struktur zostały opracowane
w analogiczny sposób.

Rys. 5 Graf przejść między stanami w układzie o strukturze 1 z 1

Równania Kołmogorowa dla układu o strukturze 1 z 1 przedstawiają się
następująco:

78

Unauthenticated
Download Date | 3/4/17 9:20 AM
 Stanisław Młynarski, Robert Pilch, Maksymilian Smolnik, Maciej Szkoda, Jan Szybka

W układzie o strukturze 1 z 2 można wyróżnić szesnaście stanów

niezawodnościowych. Stosując redukcję (połączenie) podobnych stanów ze
względu na niezawodność poszczególnych elementów, ich liczbę ograniczono do
dziesięciu. Poniżej przedstawiono graf przejść między stanami i wynikający z nich
fragment układu równań Kołmogorowa.

Rys. 6 Graf przejść między stanami w układzie o strukturze 1 z 2

Fragment układu równań struktury 1 z 2 po przeprowadzonej redukcji:

79

Unauthenticated
Download Date | 3/4/17 9:20 AM
Evaluation of the Safety Integrity Level (SIL) due to the guidelines of EN 61508...
Ocena poziomu nienaruszalności bezpieczeństwa (SIL) wg normy EN 61508...

Przedstawiona powyżej, w uproszczonej formie, metodyka przeprowadzenia

analizy stanów niezawodnościowych została wykorzystana w obliczeniach
numerycznych, których wyniki zamieszczono w rozdziale czwartym.
4. Przykład obliczeniowy
Do przeprowadzenia obliczeń i porównania ich wyników wybrano kilka
podstawowych struktur k z n, składających się z obiektów pojedynczych,
jednakowych pod względem funkcjonalnym i niezawodnościowym. Celem
prowadzonych analiz jest ocena prawdopodobieństwa pozostawania w stanie
niezdatności całego systemu, a nie jego pojedynczych elementów. Wobec tego,
kryterium zdatności systemu to jednoczesny brak uszkodzeń wykrywalnych
i niewykrywalnych w obiektach, których liczba nie przekroczy wartości większej
niż n-k.
Obliczenia PFD wg EN 61508 dokonano wg zależności (2) i (5)-(10). W celu
umożliwienia porównania wyników, w obliczeniach wg normy nie uwzględniono
uszkodzeń o wspólnej przyczynie. Obliczenia przeprowadzono również przy
wykorzystaniu modeli opartych na procesach Markowa. Poniżej
scharakteryzowano każdy z nich.
Model „A” jest modelem, w którym przyjęto, tak jak w normie, podział
intensywności uszkodzeń na wynikającą z uszkodzeń niebezpiecznych
wykrywalnych i uszkodzeń niebezpiecznych niewykrywalnych przez testy
diagnostyczne (DD, DU). W każdym obiekcie mogą występować uszkodzenia
jednego i drugiego rodzaju, więc może być on uszkodzony na dwa sposoby
jednocześnie. Podobny podział przyjęto dla intensywności odnowy uszkodzonych
w odpowiedni sposób elementów:
(11)

(12)
Każda odnowa dotyczy usunięcia uszkodzenia tylko jednego rodzaju.
W modelu nie występuje klasyczny stan pochłaniania, lecz uwzględniane są
wszystkie możliwe stany niezdatności, z których zakłada się możliwość powrotu
do stanu zdatności. Graf stanów oraz równania różniczkowe dla układów 1 z 1 oraz
1 z 2 przedstawiono na rysunkach 5 i 6. W wyniku obliczeń otrzymuje się
prawdopodobieństwo przebywania układu w stanach zdatności A(t) lub
niezdatności P(t)=1–A(t). Na tej podstawie wyznaczono średnie
prawdopodobieństwo przebywania układu w stanie niezdatności według
zależności:
(13)
Model „B” stanowi uproszczenie modelu „A”. Przyjęto w nim jeden rodzaj
intensywności uszkodzeń elementów, który jest sumą intensywności uszkodzeń
wykrywalnych i niewykrywalnych w testach diagnostycznych:
(14)

80

Unauthenticated
Download Date | 3/4/17 9:20 AM
 Stanisław Młynarski, Robert Pilch, Maksymilian Smolnik, Maciej Szkoda, Jan Szybka

oraz jedną intensywność ich odnowy µD:

(15)

W modelu uwzględniono wszystkie możliwe stany zdatności oraz niezdatności.

Średnie prawdopodobieństwo przebywania w stanie niezdatności ( )
wyznaczono wg zależności (13). Graf stanów dla układu 1 z 2 przedstawiono na
rysunku 7.

Rys. 7 Graf przejść między stanami w układzie o strukturze 1 z 2 wg modelu B

Model „C” jest najbliższy klasycznemu modelowi Markowa. Założono, jak
w modelu „A”, dwa rodzaje intensywności uszkodzeń każdego elementu (DD, DU)
oraz odpowiednie intensywności odnowy (µDD, µDU). Przyjęto jednak stan
pochłaniania, z którego nie ma powrotu do stanów zdatności. W wyniku obliczeń
otrzymuje się wartości niezawodności lub dystrybuanty w przedziale od 0 do T1.
Do porównania z innymi modelami brane pod uwagę są średnie wartości
dystrybuanty, wyznaczane według zależności:
(16)
Do przeprowadzenia obliczeń według normy oraz opisanych wariantów procesów
Markowa przyjęto następujące dane: D=1,6610-6 [h-1]; DC=0,93; T1=17520 [h];
MTTR= 24 [h]; µDD=0,0417 [h-1]; µDU=0,113810-3 [h-1]; µD=1,57310-3 [h-1];
β=βD=0, a wyniki obliczeń przedstawiono na rysunku 8.
Po dokonaniu obliczeń można zauważyć, że model Markowa A, który wydaje się
być najdokładniejszy i najlepiej odzwierciedlający rzeczywiste układy, daje
najniższe wartości prawdopodobieństwa uszkodzenia. Jednak wyznaczenie stanów
i określenie równań dla układów z większą liczbą elementów jest czasochłonne
(np. dla struktury 2 z 3 występują, przed redukcją, 64 stany systemu). Według
obliczeń przeprowadzonych na podstawie normy prawdopodobieństwa
uszkodzenia są znacznie wyższe niż w modelu A, gdyż wszelkie zaokrąglenia
i uproszczenia są w normie przyjmowane zawsze w kierunku bezpiecznym.
Najbliższe wartościom uzyskanym na podstawie normy są wartości
prawdopodobieństw uzyskane według modelu B.
Są one dla odpowiednich struktur zawsze mniejsze od wartości uzyskanych według
normy, ale większe niż w modelu A.

81

Unauthenticated
Download Date | 3/4/17 9:20 AM
Evaluation of the Safety Integrity Level (SIL) due to the guidelines of EN 61508...
Ocena poziomu nienaruszalności bezpieczeństwa (SIL) wg normy EN 61508...

Model B w mniejszym stopniu niż norma przeszacowuje zagrożenie wystąpienia

uszkodzenia. Ponadto budowa grafu i równań jest w tym modelu bardzo prosta,
niezależnie od liczby elementów k i n.

Rys. 8 Histogramy wyników obliczeń

82

Unauthenticated
Download Date | 3/4/17 9:20 AM
 Stanisław Młynarski, Robert Pilch, Maksymilian Smolnik, Maciej Szkoda, Jan Szybka

Wyniki obliczeń numerycznych zestawiono w tabeli 1.

Tabela 1. Średnie prawdopodobieństwa uszkodzenia PFD według różnych modeli

obliczeniowych
Model obliczeniowy
Struktura
kzn Norma Model Model Model
EN 61508 Markowa A Markowa B Markowa C
-3 -3 -3
1z1 1,057810 0,615310 1,018210 14,40210-3
1z2 1,519910-6 0,439210-6 1,039410-6 13,80610-6
1z3 1,84210-9 0,339610-9 1,819310-9 12,38710-9
2z3 4,559610-6 1,317510-6 3,163210-6 41,19410-6
4z6 3,684110-8 - 2,21810-8 24,48910-8

Model C daje zdecydowanie najwyższe ze wszystkich wartości

prawdopodobieństw uszkodzenia układów. Wynika to z faktu że nie występuje
w tym modelu możliwość powrotu układu ze stanu niezdatności do stanów
zdatności. Wyniki uzyskane zgodnie z procedurą obliczeniową tego modelu są
prawdopodobieństwem, że w zadanym przedziale czasu układ znajdzie się w stanie
niezdatności.
5. Wnioski
Analiza uzyskanych wyników potwierdza, że obliczenia prawdopodobieństwa
uszkodzenia PFD dają podobne rezultaty, gdy prowadzone są według normy EN
61508 oraz przy pomocy modeli Markowa. Istotna różnica wyników występuje dla
modelu obliczeniowego typu C, gdzie wprowadzony jest stan pochłaniający
(uszkodzenia systemu), z którego nie ma powrotu. Jest on wariantem
pesymistycznym i w sytuacjach, w których pożądane jest wysokie bezpieczeństwo
eksploatacji systemu, powinien być on stosowany niezależnie od obliczeń
przeprowadzonych zgodnie z normą EN 61508. System związany
z bezpieczeństwem zapewnia wyłącznie nadzór nad funkcjonowaniem systemu
technicznego, a jego uszkodzenie nie wyklucza poprawności funkcjonowania
kontrolowanego układu.
6. Literatura
[1] EN 61508 – Bezpieczeństwo funkcjonalne elektrycznych (elektronicznych)
programowalnych elektronicznych systemów związanych z bezpieczeństwem,
2010.
[2] Guo H., Yang X.: A simple reliability block diagram method for safety
integrity verification, Reliability Engineering and System Safety, 92/2007,
1267 – 1273.

83

Unauthenticated
Download Date | 3/4/17 9:20 AM
Evaluation of the Safety Integrity Level (SIL) due to the guidelines of EN 61508...
Ocena poziomu nienaruszalności bezpieczeństwa (SIL) wg normy EN 61508...

[3] Bukowski J.V., Goble W.M.: Using Markov models for safety analysis of
programmable electronic systems, ISA Transactions, 34/1995, 193 – 198.
[4] Zhang T., Long W., Sato Y..: Availability of systems with self-diagnostic
components – applying Markov model to IEC 61508-6, Reliability
Engineering and System Safety, 80/2003, 133 – 141.
[5] Młynarski S. Oprzędkiewicz J.: Systemowe rozwiązania zapewnienia
bezpieczeństwa i niezawodności obiektów technicznych, Problemy
Eksploatacji, Maintenance Problems, 3/2012, 39-54.
[6] Szybka J.: Methodology for reliability estimation of systems with sliding
reserve, Scientific Problems of Machines Operation and Maintenance,
3(163)/2010, 65 – 73.

Dr inż. Stanisław Młynarski ukończył studia na Wydziale

Mechanicznym Politechniki Krakowskiej. Odbył 2 letni staż
zawodowy w NY USA w Zakładach Mechaniki Precyzyjnej.
Ukończył studia doktoranckie na Wydziale Mechanicznym PK
i uzyskał stopień doktora nauk technicznych. Obecnie pracownik
naukowo-dydaktyczny Politechniki Krakowskiej na stanowisku
adiunkta. Specjalizuje się w dziedzinie eksploatacji,
niezawodności oraz bezpieczeństwa maszyn, pojazdów i systemów technicznych.

Dr inż. Robert Pilch ukończył studia na Wydziale Inżynierii

Mechanicznej i Robotyki AGH w Krakowie oraz uzyskał stopień
doktora nauk technicznych. Pracownik naukowo-dydaktyczny
(adiunkt), WIMiR, AGH. Zainteresowania naukowe:
niezawodność i eksploatacja maszyn, bezpieczeństwo systemów
technicznych, niezawodność układów sieciowych, odnawianie
profilaktyczne obiektów technicznych.
Mgr inż. Maksymilian Smolnik ukończył studia na Wydziale
Inżynierii Mechanicznej i Robotyki, AGH w Krakowie. Obecnie
uczestniczy w studiach doktoranckich na WIMiR, AGH.
Pracownik naukowo-dydaktyczny (asystent) WIMiR, AGH.
Zainteresowania naukowe: budowa i eksploatacja maszyn –
zwłaszcza pojazdów szynowych i samochodowych, niezawodność
systemów technicznych, metodologia projektowania systemów
i procesów.
Dr inż. Maciej Szkoda ukończył studia na Wydziale
Mechanicznym PK w Krakowie gdzie uzyskał stopień doktora
nauk technicznych. Pracownik naukowo-dydaktyczny w Instytucie
Pojazdów Szynowych Politechniki Krakowskiej. Zainteresowania
naukowe: niezawodność, bezpieczeństwo i utrzymanie pojazdów
szynowych, ocena efektywności środków transportu.

84

Unauthenticated
Download Date | 3/4/17 9:20 AM